调查网络威胁并做出响应
OT Security 采用多种检测引擎,包括行为异常、基于签名的检测 (Suricata) 和基于策略的规则,以识别表示网络攻击的流量。
目标
检测并调查可疑的网络活动,例如未经授权的扫描、恶意软件传播或协议异常,以防止运营中断。
先决条件
您必须具有所需的权限才能查看事件。
确保您配置了以下内容:
第 1 步:监控事件警报
-
登录 OT Security。
-
在左侧导航菜单中,单击“事件”。
-
选择“网络威胁”或“网络事件”,以查看与入侵尝试或异常流量相关的警报。
-
按严重程度(“高危”或“严重”)对事件进行排序,以对紧急威胁进行分类。
第 2 步:分析对话数据
-
选择特定事件以查看“事件详细信息”面板。
-
识别可疑活动中涉及的“源”和“目标”资产。
-
导航至“网络”>“对话”页面,以查看这些资产之间的具体流量情况。
-
如果可用,使用“数据包捕获”(PCAP) 视图分析原始流量数据以获取取证证据。请参阅“下载各个捕获文件”。
第 3 步:发起响应
-
查看事件详细信息部分中的“建议的缓解措施”并采取操作(例如隔离遭到入侵的资产)。
-
如果该事件为误报,请调整策略配置以微调检测并减少噪音。请参阅“策略”。
-
在“发现结果”>“策略违规”中,将事件标记为“已解决”,从而将其从活动队列中清除。请参阅“策略违规”。
结果
您可以快速识别安全事件的“对象、事件、地点和时间”,从而最大程度地减少平均响应时间 (MTTR)。